Detecciones

Cuenta de invitado con un rol con privilegios

HIGH

Idioma:

Descripción

B2B collaboration es una funcionalidad de Microsoft Entra ID que permite a los usuarios invitar a otros usuarios para que colaboren con la organización. Estas cuentas de invitado, también llamadas “identidades externas”, obtienen acceso de forma predeterminada como lo describe Microsoft:

Pueden administrar su propio perfil, cambiar su propia contraseña y recuperar cierta información sobre otros usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del directorio. Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios, grupos y otros objetos del directorio. Es posible agregar invitados a roles de administrador, lo que les concede permisos completos de lectura y escritura. Los invitados también pueden invitar a otros invitados.

Por definición, los roles privilegiados tienen privilegios elevados. Las cuentas de invitado que tienen un rol privilegiado asignado plantean un riesgo de seguridad y aumentan significativamente la superficie de ataque del inquilino. Esto resulta de especial preocupación, ya que las cuentas de invitado pueden tener políticas de seguridad más débiles, lo que las hace más susceptibles a ser vulneradas. Además, la asignación de roles privilegiados a usuarios invitados genera una menor trazabilidad, lo que dificulta supervisar y auditar sus actividades. En el peor de los casos, dichas asignaciones pueden incluso indicar una vulneración, ya que los agentes maliciosos a menudo explotan las cuentas de invitado para obtener acceso no autorizado y moverse lateralmente dentro del entorno.

Supervise con atención estas cuentas de invitado y asegúrese de no asignarles roles privilegiados.

En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que los invitados no tengan asignados roles de directorio con privilegios elevados.

Solución

Para evitar dejar expuesto el inquilino más allá de su organización, revoque o cancele la asignación de cualquier rol privilegiado de las cuentas de invitado.

Detalles del indicador

Nombre: Cuenta de invitado con un rol con privilegios

Nombre en clave: GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0001 - Initial Access (texto en inglés)
- Técnicas: T1078.001 - Valid Accounts: Default Accounts (texto en inglés), T1078.004 - Valid Accounts: Cloud Accounts (texto en inglés)
Táctica: TA0043 - Reconnaissance (texto en inglés)
- Técnicas: T1590 - Gather Victim Network Information (texto en inglés)
Táctica: TA0043 - Reconnaissance (texto en inglés)
- Técnicas: T1595 - Active Scanning (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1098.003 - Account Manipulation: Additional Cloud Roles (texto en inglés)